Anty-wzory zapory?


9

Jakie są najczęstsze i niewłaściwe sposoby konfiguracji zapory? Rozpocznę listę od następujących czynności:

Ślepo blokuje ICMP . To była powszechna praktyka w 1998 roku, kiedy ataki smerfowe były wściekłością. Dzisiaj istnieje ryzyko utworzenia czarnej dziury PMTU i utrudnienia w diagnozowaniu problemów. Jeśli musisz zablokować ICMP, przynajmniej pozwól na fragmentację i prześlij żądanie / odpowiedzi echa.

Stare zasady . Szkoda, że ​​nie możemy ustalić daty ważności reguł. Podczas migracji usługi często zapominam o usunięciu reguł dla starej usługi.


3
To może stać się nieco kłótliwe.
squillman,

Słuszna uwaga. Trochę stonowałem mój przykład. Mamy nadzieję, że rozwiążemy niektóre mity bez rzucania kupek.
Gerald Combs,

Odpowiedzi:


9

Otwieranie go, aby działało ... a potem nigdy nie wracanie i blokowanie czegokolwiek.


1
domyślna polityka: zaakceptuj, po w pełni dostosowanym zestawie reguł, ponieważ w przeciwnym razie niektóre szczegóły nie będą działać. Widziałem to zbyt wiele razy.
Joris,

2
+100 - Kusiło mnie, aby po raz ostatni stać się brutalnym, gdy usłyszałem: „Ale coś może przestać działać i nie możemy poświęcić czasu na zamknięcie jednego portu na raz”. ALE TO NASZA PRACA ... / headdesk
Kara

6

W ślad za przykładem Johna - niestosowanie komentarzy do reguł, jeśli zapora je obsługuje.

Nie ma nic gorszego niż zobaczenie zapory ogniowej po raz pierwszy i zobaczenie różnego rodzaju dziwnych zasad, które nie mają sensu gołym okiem, a komentarze są puste i nie ma dokumentacji.


2

Jeśli chodzi o nieaktualne zasady, jak w twoim przykładzie - odpowiednia dokumentacja i procedury wyeliminują takie problemy. Sugeruję, że twój problem w ogóle nie występuje w zaporze.


1
Pomoże to również, gdy ktoś przyjdzie i powie „Hmm, dlaczego blokujemy port wychodzący 4345 z tego pojedynczego adresu IP? Zastanawiam się, czy po prostu usunę (nie wyłączę) tę regułę, co się stanie ...” i wtedy wszechświat eksploduje .
Mark Henderson

1
I oczywiście zajmiemy się tematem kontroli wersji ...
John Gardeniers,

1

Osobiście uważam, że podział reguł przychodzących i wychodzących na dwie główne grupy jest anty-wzorcem. Zmaganie się z dwiema dużymi grupami to koszmar. Wolę grupować reguły dla ruchu przychodzącego i wychodzącego związanego z określonym protokołem / aplikacją. W ten sposób łatwiej jest nimi zarządzać.


1

Przenieś problem w inne miejsce.

na przykład. zapora na lokalnych komputerach PC zatrzymuje działanie niektórych usług lub aplikacji, więc wyłącz ją całkowicie i powiedz „zapora na routerze brzegowym będzie w porządku, aby chronić wszystkie komputery”.


1

Ręczne tworzenie i utrzymywanie ich.

Starożytne skrypty innych firm, które „działają wystarczająco dobrze, abyśmy nie zawracali sobie głowy ich wymianą”, wymagają ręcznej edycji zamiast używania plików konfiguracyjnych i są całkowicie niezrozumiałe dla osób, które nie przeczytały tezy opisującej ich działanie.


Brzmi bardziej jak problem z komentowaniem / dokumentacją niż fakt, że ktoś napisał skrypt.
Chris S,

@Chris odpowiednio zmodyfikowane.
Andrew
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.